Immer wieder fällt bei Durchsicht von Messdaten auf, dass einzelne LAN-Pakete doppelt (oder dreifach) vorhanden sind.
Die Gründe hierfür können sehr verschieden sein.
Grundsätzlich können Switch-Defekte die Ursache dafür sein, aber auch Konfigurationsfehler (etwa im Load-Balancing, in IP-Helper-Configs, etc);
es können Routing-Loops gegeben sein;
es können doppelte Pakete aber auch als Phantom-Effekt in den Messdaten auftreten (bedingt durch Einstellungen des Mirror-Ports);
es können elektrische Störungen dazu führen, dass ein Switch LAN-Pakete mehrfach sendet (wobei die Wahrnehmung des Switches, die Erst-Sendung könne elektrisch gestört worden sein, mal stimmen kann, mal irren kann, was je nach Gegebenheit auf weitere Umfeld-Bedingungen Rückschluss zulässt, etwa auf Erdungsfehler);
in einem einzelnen Fall wurde beobachtet, dass ein Netzwerk-Knoten Pakete, die ihn erreichten (aber nicht an ihn adressiert waren), erneut ins Netz sendete (quasi zurück warf).
Es muss geprüft bzw. unterschieden werden,
ob das Doppel die identische Länge hat wie das Original,
ob die Dopplung das gesamte Paket betrift (vom ersten bis zum letzten Byte),
ob die MAC-Adressen sich unterscheiden, der Rest aber identisch ist,
ob die IP-Adressen sich unterscheiden (samt IP-CRC), der Rest aber identisch ist,
ob nur die TCP-Payload identisch ist, nicht aber MAC/IP davor.
Es gibt also einen ganzen Katalog an Möglichkeiten. Es kommt - wie so oft - auf das Detail an bzw. auf das Gesamtbild.
Mail
an die Online-Redaktion zum aktuellen Thema ("doppelte Pakete").
